F-Droid将Google ADV定性为恶意软件:40亿设备已被预装

什么是ADV

Android Developer Verifier(ADV)是Google通过Play Protect植入安卓设备的系统进程,以root权限在后台运行,无法屏蔽、禁用或移除。如果你使用的是Android 8或更高版本,你的设备上已经有这个进程。全球约40亿台设备已被预装。

Android锁定概念图

9月30日起,ADV将在巴西、印尼、新加坡和泰国首批激活。激活后,用户可能无法运行未经Google集中批准的开发者分发的软件。全球推广定于2027年及以后。

F-Droid为什么说这是恶意软件

开源应用商店F-Droid在官方博客中直接将ADV定性为恶意软件。他们的逻辑链如下:

  • 伪装:ADV以"Android Developer Verifier"这个无害名称运行
  • 静默安装:通过Play Protect自动植入,无需用户知情同意
  • root权限:以系统级权限运行,不可移除
  • 远程激活:等待Google的激活信号,届时执行应用封锁
  • 唯一目标:阻止用户运行未经Google批准的软件

这些行为特征与典型的远程控制木马高度吻合。唯一的区别是,这个"木马"的传播者就是平台方自己。

最核心的问题:"恶意软件"没有定义

Google的Android Developer Console服务条款第6.5条规定:

If You violate any of the Terms or if You distribute malware or other harmful applications, Google may terminate Your access to the ADC...

整份文档中没有任何地方对"malware"下定义。没有形式定义、没有标准、没有指引。

没有定义意味着Google拥有无限的自由裁量权。今天的广告拦截器已经从Play Store下架,部分实例已被归类为恶意软件。如果Google将所有广告拦截软件定义为恶意软件、封禁相关开发者,这在现有条款下完全合规,也与Google作为全球广告技术垄断者的商业利益一致。

F-Droid在博客中写道:

...and "malware" means whatever we say it means.

"99%已注册"是怎么回事

Google声称超过99%的Play开发者应用已完成注册,暗示ADV广受开发者欢迎。F-Droid指出,这些开发者是被Play Store协议自动加入的,并非知情同意。已有的Play Store协议绑定了开发者,Google只是在协议基础上叠加了新的强制要求,开发者别无选择。

反对声音其实很大:

  • 数十万人签名反对ADV
  • 超过70个组织(EFF、FSF、FSFE、ACLU、Forbrukerrådet等)在keepandroidopen.org签署公开信
  • Google开发者圆桌视频中90%的观众投了踩
  • 连Google Gemini在被问及ADV受欢迎程度时都承认反对声音压倒性占优

替代方案被忽视

ADV声称要解决的问题是"恶意软件再犯":已识别的恶意开发者用新账号、新签名密钥重新分发恶意应用。这是一个相对狭窄的威胁向量,存在多种温和得多的解决方案:

  • 增强Play Protect:对从可疑渠道安装的、拥有高权限的新应用加强审查
  • 联邦验证体系:让用户自选信任的应用审核方(如2023年论文《DCM: A Developers Certification Model for Mobile Ecosystems》提出的方案)

Google选择了最激进的路径:强制所有开发者集中注册、上传政府证件、登记所有签名密钥,终结Android 18年的开放软件开发传统,将自身定位为全球唯一的应用准入守门人。

对用户意味着什么

如果你在巴西、印尼、新加坡或泰国,9月30日之后可能会受到影响。目前尚不清楚ADV激活后的具体行为,比如是否会完全阻止sideloading、是否会影响F-Droid等第三方应用商店的安装、已有应用是否会被追溯封锁。F-Droid表示将在未来几周发布更多指导。

对于其他地区的用户,2027年及以后全球推广时将面临同样的问题。这意味着你现在能自由安装的任何APK,未来可能需要Google的批准才能运行。

开源安全模式 vs 闭源安全模式

F-Droid的安全模式基于开源透明:所有应用源代码公开,任何人可以审查,用户基于代码透明度建立信任。这与闭源商业应用商店的"相信我"模式根本对立。

两种模式共存了16年。F-Droid认为Google的意图是建立只有自己拥有"安全"和"信任"定义权的垄断体制,让开源安全模式无法存续。


来源F-Droid Blog - What We Talk About When We Talk About Malware · 2026-07-01

相关推荐